Troubleshooting Linux серверов
Всем привет!
Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers!😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов!
Все задачи разделены на три категории:
🎹 Easy,
🎹 Medium
🎹 Hard.
В каждой задаче вам предлагается:
🎹 что-то сделать (Do)
🎹 что-то починить (Fix)
🎹 что-то "сломать" (Hack)
Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!
Всем привет!
Ну что, все уже успешно справились с заданиями из нашего недавнего поста?😉 А сегодня мы хотим представить вашему вниманию еще больше задачек и головоломок! SadServers!😢 Отличная подборка сценариев для того, что бы отточить свое мастерство дебага Linux серверов!
Все задачи разделены на три категории:
🎹 Easy,
🎹 Medium
🎹 Hard.
В каждой задаче вам предлагается:
🎹 что-то сделать (Do)
🎹 что-то починить (Fix)
🎹 что-то "сломать" (Hack)
Здесь вы найдете разнообразные сценарии, связанные с различными технологиями такими как: kubernetes, docker, nginx, apache, mysql и многими другими! Уверены, вы с удовольствием проведете время, решая эти задачки!
👍16❤2🔥2
Анализ binary-файлов от Chainguard
Всем привет!
Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого.
Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы.
Возможности утилиты:
🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64)
🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python
🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО
🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML)
Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов.
P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.
Всем привет!
Chainguard продолжает свой «крестовый поход» по улучшению безопасности образов контейнеров и их содержимого.
Недавно команда поделилась еще одним своим проектом – Bincapz – позволяющим анализировать binary файлы.
Возможности утилиты:
🍭 Анализирует binary-файлы в независимости от архитектуры (arm64, amd64, riscv, ppc64, sparc64)
🍭 Поддерживает bash, PHP, Perl, Ruby, NodeJS и Python
🍭 Для анализа используется более чем 12 000 YARA-правил. Включая правила, направленный на идентификацию вредоносного ПО
🍭 Предоставляет «отчеты» в различных форматах (MD, JSON, YAML)
Описание того, как установить и использовать Bincapz можно найти в repo проекта. Да, это не 100% панацея, но точно может быть использовано для повышения уровня информационной безопасности используемых образов.
P.S. Недавно минималистичные образы Chainguard были официально добавлены в Dockerhub. Подробнее об этом можно прочесть тут.
GitHub
GitHub - chainguard-dev/malcontent: #supply #chain #attack #detection
#supply #chain #attack #detection. Contribute to chainguard-dev/malcontent development by creating an account on GitHub.
👍5❤1
Native Sidecar Containers
Всем привет!
В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно.
Например, могут возникнуть вопросы:
🍭 Что это такое и какие были предпосылки к созданию?
🍭 Чем это отличается от Init Container или от Sidecar-паттерна?
🍭 Как мне «запустить» такой «Native Sidecar Container»?
🍭 Что это мне даст? Какие проблемы я смогу решить?
Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground.
Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!
Всем привет!
В версии Kubernetes 1.28+ была добавлена такая функция, как «Native Sidecar Container». Сперва может быть не очень понятно, зачем это нужно.
Например, могут возникнуть вопросы:
🍭 Что это такое и какие были предпосылки к созданию?
🍭 Чем это отличается от Init Container или от Sidecar-паттерна?
🍭 Как мне «запустить» такой «Native Sidecar Container»?
🍭 Что это мне даст? Какие проблемы я смогу решить?
Ответы на все эти вопросы и не только можно найти в детальном материале от Ivan Velichko. При этом все, что описано в статье можно реализовать непосредственно в playground.
Ivan в который раз радует превосходным материалом. Если вы еще не знакомы с его наработками – крайне рекомендуем это исправить!
iximiuz Labs
Making Sense Out of Native Sidecar Containers in Kubernetes | iximiuz Labs
Understand the "native" sidecar containers, learn their difference from regular and init containers and discover their advantages in this focused and highly practical tutorial.
👍8❤2
API-Gateway с аутентификацией на базе Nginx
Всем привет!
В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx.
Автор предлагает создать 3 сущности:
🍭 Auth. Проверяет переданный authorization token
🍭 Expose. Сервис, который «публикует» несколько endpoints
🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами
Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье.
Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.
Всем привет!
В статье можно найти пример реализации API-gateway с token-аутентификацией, реализованный с использованием Golang и Nginx.
Автор предлагает создать 3 сущности:
🍭 Auth. Проверяет переданный authorization token
🍭 Expose. Сервис, который «публикует» несколько endpoints
🍭 Nginx. Маршрутизация запросов пользователя между остальными сервисами
Исходные коды, используемые технологии, конфигурация Nginx и комментарии – все можно найти в статье.
Автор приводит упрощенный вариант реализации. Однако, если захочется сделать что-то аналогичное, но «помощнее» - концепт останется точно таким же.
Medium
Make Your Own API Gateway with NGINX and Proper Auth Validation
Microservices are a common trend in our software industry right now. Whenever the topic of “scalability” arises, microservices come to mind…
👍10👎2🔥2
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
❤6🔥3👍2
CI/CD Security: что это, зачем, какие есть риски и что делать?
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security(дада, куда без него, ведь все становится лучше с bluetooth ML 😊)
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Всем привет!
Нарушение работоспособности CI/CD конвейера или его «логики» (как случайное, так и предумышленное) может привести к не самым приятным последствиям. От срыва сроков release до добавления malware в выпускаемый Продукт.
В статье Авторы подробно (~ 27 минут для прочтения), шаг за шагом, разбирают вопросы, связанные обеспечением информационной безопасности CI/CD-конвейера.
Статья содержит следующие крупные блоки:
🍭 Почему обеспечение ИБ CI/CD-конвейера является крайне важным?
🍭 Что такое безопасности CI/CD: риски, описанные в OWASP Top 10
🍭 Как можно защитить CI/CD?
🍭 Лучшие практики по CI/CD-hardening
🍭 Использование AI/ML в целях CI/CD Security
В статье много полезных отсылок. Например, для OWASP Top 10 предоставляется информация о том, где это было «реализовано».
Части, связанные с защитой, пусть и не дают явных how to, но определяют направление, которое можно реализовать в используемом Вами инструментарии.
Spacelift
CI/CD Security: What is It, Risks & 20 Best Practices
Learn why CI/CD Security is the key to faster and more reliable software delivery with tips on how to keep your pipelines secure.
👍5❤1
Kubernetes: Network Observability
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
Всем привет!
Retina – open source решение от… Microsoft, которое может быть полезно при поиске проблем в работе сети Kubernetes. Например, идентификация проблем в сетевой связности, мониторинг «здоровья» сети.
При помощи нее можно собирать большое количество телеметрии, которое можно помещать в смежные системы (например, Prometheus) и визуализировать (например, Grafana).
В качестве телеметрии используются сущности:
🍭 Metrics. Входящий/Исходящий трафик, потерянные пакеты, TCP/UDP, DNS и т.д.
🍭 Captures. Захват трафика с последующим анализом для выбранных Pods/Nodes
Информацию по установке настройке и интеграции Retina с Prometheus/Grafana и больше информации по возможностям решения можно найти в документации.
GitHub
GitHub - microsoft/retina: eBPF distributed networking observability tool for Kubernetes
eBPF distributed networking observability tool for Kubernetes - microsoft/retina
👍3❤1
Tigera_eBook_Intro_to_Kubernetes_Networking.pdf
4.6 MB
Kubernetes Networking and Security
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
Всем привет!
В приложении можно скачать электронную книгу от Tigera (авторов Calico), посвященную вопросам устройства и обеспечения ИБ сети в Kubernetes.
На ~ 60 страницах можно найти информацию по разделам:
🍭 Networking (общий), особенности Kubernetes Networking
🍭 Network Policy
🍭 Kubernetes Services / Ingress / Egress
🍭 eBPF и не только
В книге много примеров, пояснений и ссылок на «внешние» материалы по темам разделов.
И без Calico не обошлось (было бы странно 😊) В том числе рассматриваются его возможности, сценарии использования и функционал Enterprise-версии
👍7🔥2
Управление пользователями в Codeowners
Всем привет!
Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов.
Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы.
Cleanowners – GitHub Action, который удаляет пользователей из файла
Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями.
Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.
Всем привет!
Вопросы отзыва прав доступа у работников, которые больше не являются частью Компании и/или проекта – достаточно частая задача для ИБ-специалистов.
Разработка и управление правами доступа к repo – не исключение. Сегодня хотим рассказать Вам про небольшую утилиту, которая приносит достаточно много пользы.
Cleanowners – GitHub Action, который удаляет пользователей из файла
CODEOWNERS, если они более не являются частью организации.Утилита работает только с GitHub, но нечто аналогичное можно сделать и для других систем управления версиями.
Как ей пользоваться, что для это нужно и как ее можно настроить – все детально описано в repo проекта.
GitHub
GitHub - github/cleanowners: A GitHub Action to suggest removal of non-organization members from CODEOWNERS files
A GitHub Action to suggest removal of non-organization members from CODEOWNERS files - github/cleanowners
Разбор Poisoned Pipeline Execution (PPE)
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Всем привет!
Компрометация сборочной среды может привести к очень неприятным последствиям. Это не раз «демонстрировалось» - на примерах тех же Solar Winds или Codecov.
Если упростить, то PPE возникает, когда злоумышленник каким-либо способом может «влиять» на конфигурацию конвейера сборки (pipeline).
В статье Автор разбирает следующие примеры
🍭 Direct PPE
🍭 Indirect PPE
🍭 Public PPE
Для каждой «разновидности» атаки Автор приводит примеры, сопровождая их комментариями. «Нового» ничего нет, зато есть еще немного примеров для лучшего понимания происходящего.
Завершают статью советы о том, как можно и нужно избегать подобного, а также ссылки на большое количество различных материалов по теме.
Bishop Fox
Poisoned Pipeline Execution Attacks: A Look at CI-CD Environments
Bishop Fox examines types of poisoned pipeline execution (PPE) attacks, methods to exploit these vulnerabilities, and recommended preventive measures.
🔥2
Управление уязвимостями, советы GitGuardian
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
Всем привет!
По ссылке можно найти статью (~ 11 минут чтения), в которой Автор из команды GitGuardian описывает собственную практику и советы по созданию процесса управления уязвимостями.
Он выделяет 3 ключевые «области»:
🍭 Identification. Получение данных из различных сканеров
🍭 Observability. Некое подобие «информирования» участников процесса (отдельно для AppSec, отдельно для Dev)
🍭 Management. Устранение ИБ-дефектов, обучения, метрики и т.д.
В конце – немного про участников процесса, роли, их полномочия и распределение обязанностей.
Сперва статья может показаться достаточно «базовой», но в ней очень много интересных мыслей. Включая схему процесса, которую Автор «рисует» вместе с читателями.
GitGuardian Blog - Take Control of Your Secrets Security
Vulnerability Management Lifecycle in DevSecOps
In this new series, CJ May shares his expertise in implementing secure-by-design software processes that empower engineering teams.
The first stage of his DevSecOps program: vulnerability management.
The first stage of his DevSecOps program: vulnerability management.
10 000 bugs за 10 000 дней!
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
Оказывается, что недавно общее количество bugs, которые были исправлены в
Немного подробней про эту новость можно прочесть вот тут. А(если посчитать, то ему 28 лет 😊)
Всем привет!
Сегодня не совсем обычный пост, но хочется этим поделиться 😊 Наверное, каждый (по крайней мере в этом канале) сталкивался с…
cURL!Оказывается, что недавно общее количество bugs, которые были исправлены в
cURL, превысило 10 000! Если не верится, то вот тут можно найти статистику. В ней также указано общее количество CVE и история их изменений.Немного подробней про эту новость можно прочесть вот тут. А
cURL хочется лишь пожелать дальнейшего развития и поддержки от community 😊 😁6🔥3❤1👍1
Kubernetes: the harder way!
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
Всем привет!
Возможно, Вы слышали или даже «проходили» путь Kubernetes: the hard way, в котором автоматизация процесса создания кластеров сведена к минимуму.
Показалось, что это было слишком просто? Тогда попробуйте Kubernetes: the harder way!
Автор предлагает следующее:
🍭 Preparing environments for a VM Cluster
🍭 Bootstrapping Kubernetes Security
🍭 Installing Kubernetes Control Plane
🍭 Simplifying Network Setup with Cilium и не только
Для каждого раздела приведена детальная инструкция, примеры команд и пояснений того, что происходит.
Подобное «упражнение» позволит лучше понять внутреннее устройство Kubernetes и принципы его работы.
GitHub
GitHub - ghik/kubernetes-the-harder-way: A guide to setting up a production-like Kubernetes cluster on a local machine
A guide to setting up a production-like Kubernetes cluster on a local machine - ghik/kubernetes-the-harder-way
🔥10👍3
imagePullPolicy что это и как она работает?
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always(название может быть обманчиво 😊)
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Всем привет!
В статье на простых примерах рассказывают и демонстрируют принципы работы разных вариантов
imagePullPolicy.Рассматриваются следующие возможности:
🍭 IfNotPresent
🍭 Always
🍭 Never
Для каждой политики приводится схема ее работы, рассматриваются вопросы использования Image Tag и Digest и описываются нюансы использования
Decisivedevops
Kubernetes Pod Policies — imagePullPolicy - Decisive DevOps
When a pod is launched in Kubernetes, it starts with several policies. In this series, we will understand these policies, starting with imagePullPolicy.
👍2
Attacking Supply Chain
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Всем привет!
По ссылке доступна объемная статья (~ 12 минут), посвященная атакам на цепочку поставок программного обеспечения.
Рассматриваются такие сценарии, как:
🍭 Code Injection via Git Repository
🍭 Infrastructure as Code Injection
🍭 Supply Chain Supplier: Ansible Galaxy, Docker Hub
🍭 Compromised build artifacts и не только
Для всех рассматриваемых атак приведены примеры, код и параметры конфигураций. Для некоторых есть раздел «Real Case Scenario», который описывает как это было реализовано
P.S. Важно помнить, что для многих примеров у злоумышленника должны быть права например, на изменение файлов в Repo. Это лишний раз показывает важность корректной настройки окружения разработки в соответствии с лучшими ИБ-практиками
Devsecopsguides
Attacking Supply Chain
In today's interconnected and rapidly evolving technological landscape, DevOps practices have revolutionized software development and deployment, emphasizing collaboration, automation, and continuous integration/continuous deployment (CI/CD).
👍7❤3
Стань спикером CyberCamp 2024!!!
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками(и даже получить приятные призы 😊) Интересное найдется абсолютно всем!
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
Всем привет!
Последние 2 года мы проводим мероприятие по кибербезопасности для специалистов по информационной безопасности – CyberCamp!
Теория соединяется с практикой, что позволяет предоставить полную картину того, с чем придется столкнуться в реальной жизни.
А для тех, кто уже обладает сильной экспертизой и ищет вызовов – есть командные киберучения, где можно посоревноваться с другими участниками
В этом году мы решили сделать открытый Call For Papers, в котором приглашаем вас поучаствовать!!!
Если у вас есть то, чем хочется поделиться по безопасной разработке, DevSecOps или вообще чем-то, что имеет отношение к ИБ – переходите по ссылке, заполняйте анкету (она маленькая, правда) и мы с радостью свяжемся с вами!
P.S. Больше про CyberCamp можно узнать на официальном канале мероприятия. До встречи! Очень ждем ваших заявок!
P.P.S. Заявки принимаются до 1-ого июня ☺️☺️☺️
🔥6❤🔥5👍5❤2🥰2
Как подготовиться к собеседованию в Google?
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
Всем привет! Хотите попробовать свои силы в собеседовании на позицию SRE в Google?😉 Тогда эта статья для вас☺️👍
Пользователь Reddit с ником u/Dubinko недавно проходил собеседование в эту компанию и решил поделиться некоторыми вопросами, которые задавали ему во время интервью! Автор выложил в открытый доступ эти и некоторые другие вопросы, которые могут помочь в подготовке к собеседованиям на различные позиции.
В этой подборке вы найдете вопросы по темам:
🎹 Networking
🎹 Practical Coding / Scripting
🎹 Non-Abstract Systems Design
🎹 Operating Systems
...а так же ответы на них!
Так что теперь каждый, хотя бы виртуально, может попробовать пройти "собеседование" в одну из крупнейших мировых компаний!😁
Друзья, а какие вопросы из ваших собеседований вам запомнились больше всего? Делитесь своими впечатлениями в комментариях!
👍3🔥2🥰1😨1
AppSecFest 2024 Almaty!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
Всем привет!
Конференция по разработке и безопасности AppSecFest — это место, где миры разработки приложений (App) и безопасности (Sec) объединяются.
В программе:
🖥 Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, подарки и розыгрыши
Мероприятие пройдет 3 мая в Алматы, Атакент-Экспо 10 павильон. Купить билеты можно на сайте конференции.
Но! Есть и альтернативный вариант! Все очень просто! Авторы первых 5 комментариев под этим постом получат от нас свой билет - напишите, что вам больше всего нравится в безопасной разработке и DevSecOps! 😊 Просим писать только тех, кто и правда хочет и может посетить прекрасную Алмату и отличную конференцию 😊
PS. Подписывайтесь на телеграм-канал и следите за новостями о конференции AppSecFest!
appsecfest.kz
AppSecFest 2025
AppSecFest — это ежегодное событие, где передовые подходы к разработке и защите приложений формируют будущее технологий.
👍5🔥2
Kubenomicon: угрозы безопасности Kubernetes
Всем привет!
Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.
На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.
Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact
Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».
Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.
P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️
Всем привет!
Kubenomicon – проект, цель которого составить полную матрицу возможных атак на кластеры Kubernetes с указанием возможных мер по противодействию.
На текущий момент сильно пересекается с аналогичным материалом от Microsoft, но есть и отличия.
Структура материала «привязана» к классическому kill chain:
🍭 Initial access
🍭 Execution
🍭 Persistence
🍭 Privilege escalation и далее до Impact
Для каждой угрозы приводится описание с примерами и пояснениями. Проект относительно молодой, поэтому в разделе «Defending» часто можно увидеть «Pull request needed».
Возможно, вас это заинтересует и этот самый PR напишите как раз вы! А мы, в свою очередь, будем держать вас в курсе по обновлению этого материала.
P.S. Кстати, его можно "распечатать", как pdf книгу для локального доступа ☺️
Telegram
DevSecOps Talks
Microsoft Kubernetes Threat Matrix
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил…
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил…
❤2
Semgrep Academy!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
Всем привет!
Многие производители решений нет-нет, да и сделают собственные программы обучения. Мы уже писали про такие примеры от SNYK, Chainguard, Isovalent, Aqua Security и других.
Semgrep не является исключением! С его учебными курсами можно ознакомиться в Академии.
На текущий момент доступен небольшой набор:
🍭 Application Security Foundations Level 1
🍭 Application Security Foundations Level 2
🍭 Application Security Foundations Level 3
🍭 Principles of Functional Programming
В среднем на курс приходится около 3,5 часов видео записей. С программами можно ознакомиться, перейдя по ссылке Академии, никакая регистрация не требуется. И, что самое приятное – Enroll for free!
❤9🔥1
Моделирование угроз с Gram
Всем привет!
Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!
Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!
Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)
Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊
С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide
Всем привет!
Иногда случается так, что Компании, перепробовав все, что есть на рынке не могут найти подходящее решение для задачи. Не можешь найти? Сделай сам!
Именно так и поступила Klarna (Шведская fintech компания) по отношению к средству для моделирования угроз. Так появился проект Gram, который был отдан в community!
Из возможностей:
🍭 Совместная работа нескольких пользователей
🍭 Возможность указания необходимых ИБ-контролей для нивелирования угроз
🍭 Web UI, в котором можно создавать диаграммы компонентов и их взаимосвязей
🍭 Интеграция с JIRA и SSO (Okta)
Да, это мало чем отличается от условного Draw.io, за исключением того, что в Gram убрали все лишнее и оставили только нужное для моделирования угроз. Возможно, что кому-то из вас это пригодится 😊
С тем, как можно запустить Gram и всеми необходимыми для этого параметрами можно ознакомиться в Quick Start Guide
GitHub
GitHub - klarna-incubator/gram: Gram is Klarna's own threat model diagramming tool
Gram is Klarna's own threat model diagramming tool - klarna-incubator/gram
👍8